EN JP CN

SV.TAINTED.PATH_TRAVERSAL

SV.TAINTED.PATH_TRAVERSAL

パス構築時の未検証の入力

プログラムが、パス名構築のために特殊文字の中立化を行わないで外部入力を使用する場合、パストラバーサル攻撃にさらされたままになる可能性があります。このチェッカーは、ファイルパスの一部として使用される外部文字列が適切にチェックされていない場合、欠陥をレポートします。

脆弱性とリスク

パストラバーサル攻撃は、重要なシステムやアプリケーションデータを含む、任意のファイルおよびディレクトリーへのアクセスを得ることを目的とします。パストラバーサル攻撃は、プログラムに悪意ある構成をもたらすためにも使用することができます。最も危険なプログラミングエラー上位 25 では13番目にランクされています。

軽減と防止

この指摘を避けるためには、生の入力をパス名として使用する前に、承認コードを追加することがベストです。承認コードには、次のようなケースのチェックが含まれている必要があります:

  • ピリオド-ピリオド-スラッシュ (../)::このシーケンスおよびそのバリエーションを使用して、攻撃者はファイルシステムに移動して、どのファイルにもアクセスを得ることを可能にします。(../)はさまざまなエンコーディング、例えば、「 ../../../etc/shadow」によって表わすことができることに注意してください。
  • 絶対パス:また、相対パスが予測される状況で絶対パスを使用することも、ご使用のシステムの任意のファイル、例えば「/etc/shadow」へのアクセスをもたらします。
  • ヌル記号:ヌル記号の使用は、アプリケーションが使用可能なファイル拡張子をチェックにより制限したり、または特定の拡張子、例えば「application.cfg%00.pdf」の付加を制限する状況では、攻撃者が攻撃の範囲を広げるために生成されたファイル名を切り詰めることを可能にします。

脆弱コード例

1  main.c
2  #include <stdio.h>
3  int main(int argc, char **argv) {
4    char *name = argv[1];
5    FILE *user_config = fopen(name, "r");
6    if (user_config == NULL) {
7      return 1;
8    }
9    fclose(user_config);
10    return 0;
11  }

Klocwork は、この例の欠陥をレポートします。これは、「名前」文字列が「argv」引数を通して受け取られ、検証されないままパス名として使用されるからです。

修正コード例

1  check.h
2  char* neutralize(char *);
3  main.c
4  #include <stdio.h>
5  #include "check.h"
6  int main(int argc, char **argv) {
7     char *name = argv[1];
8     name = neutralize(name);
9     FILE *user_config = fopen(name, "r");
10    if (user_config == NULL) {
11       return 1;
12    }
13    fclose(user_config);
14    return 0;
15    }
16
17      check.kb
18      neutralize - TSCheckPT 1 : $1 : 1

Klocwork は、この例で欠陥をレポートしません。これは、外部入力が「中立化」機能に送られ、検証されて、パスを安全にするからです。

拡張機能

このチェッカーは、Klocwork knowledge base (ナレッジベース) を利用して拡張できます。C/C++ 解析のチューニング および C/C++ knowledge base (ナレッジベース) リファレンス を参照してください。